🥇Nftables 패킷 필터 1.0.1 출시

IPv1.0.1, IPv4, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하는 패킷 필터 nftables 6 릴리스가 게시되었습니다(iptables, ip6table, arptables 및 ebtables를 대체하는 것을 목표로 함). nftables 1.0.1 릴리스가 작동하는 데 필요한 변경 사항은 Linux 커널 5.16-rc1에 포함되어 있습니다.

nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 작업은 릴리스 3.13부터 Linux 커널의 일부였던 nf_tables 하위 시스템에서 제공됩니다. 커널 수준은 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를 위한 기본 기능을 제공하는 일반적인 프로토콜 독립적인 인터페이스만 제공합니다.

필터링 규칙과 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)를 연상시키는 특수 가상 머신의 커널에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 프로토콜 작업을 위한 구문 분석 규칙 및 논리의 모든 기능을 사용자 공간으로 이동할 수 있습니다.

주요 혁신:

대규모 세트 및 지도 목록을 로드할 때 메모리 소비가 감소되었습니다.
세트 및 맵 목록 다시 로드가 가속화되었습니다.
대규모 규칙 세트에서 선택된 테이블 및 체인의 출력이 가속화되었습니다. 예를 들어, 100만 라인의 규칙 세트를 표시하는 "nft list ruleset" 명령의 실행 시간은 3.049초이고, nat 및 filter 테이블("nft list table nat", "nft list table filter")만 출력하는 경우입니다. 1.969초와 0.697초로 단축됩니다.
대규모 세트 목록과 맵 목록이 있는 규칙을 처리할 때 "--terse" 옵션을 사용한 쿼리 실행이 가속화되었습니다.
netdev 체인(송신 후크)의 송신 핸들러와 동일한 수준에서 처리되는 "송신" 체인의 트래픽을 필터링할 수 있습니다. 드라이버가 커널 네트워크 스택으로부터 패킷을 수신하는 단계에서. 테이블 netdev 필터 { 체인 송신 { 유형 필터 후크 송신 장치 = { eth0, eth1 } 우선 순위 0; 메타 우선순위 설정 ip saddr map { 192.168.10.2 : abcd:2, 192.168.10.3 : abcd:3 } } }
지정된 오프셋에서 패킷 헤더와 콘텐츠의 바이트를 일치시키고 수정할 수 있습니다. # nft 추가 규칙 xy @ih,32,32 0x14000000 카운터 # nft 추가 규칙 xy @ih,32,32 set 0x14000000 카운터

출처 : opennet.ru

nftables 패킷 필터 1.0.1 릴리스

코멘트를 추가 답장을 취소